El infierno de Log4Shell: Anatomía de un brote de exploits

Sophos, líder global en ciberseguridad de última generación, alerta de una grave vulnerabilidad en un sistema de registros ampliamente utilizado por los desarrolladores de aplicaciones web y servidores basados en Java, lo que está poniendo en riesgo a un número incalculable de empresas a posibles ciberataques de código remoto y la exposición de su información.

Tras la notificación de la vulnerabilidad de Apache Log4Shell, Sophos proporciona ahora nueva información sobre cómo los ciberatacantes están explorando o intentando explotar los sistemas sin parchear. Los nuevos descubrimientos de Sophos se detallan en este artículo de SophosLabs Uncut, Log4Shell Hell: Anatomy of an Exploit Outbreak, que recoge:

  • Sophos está observando un rápido aumento de los ataques que explotan o intentan explotar esta vulnerabilidad, con cientos de miles de intentos detectados hasta ahora.
  • Las redes de bots de criptominería están siendo los primeros en explotar esta vulnerabilidad. Estas redes de bots se centran en plataformas de servidores Linux, que están especialmente expuestas a esta vulnerabilidad.
  • Sophos también ha detectado intentos para extraer información de diversos servicios, entre los que se incluyen claves de Amazon Web Services y otros datos privados
  • Sophos ha observado que los intentos de atacar los servicios de red empiezan probando diferentes vías. Alrededor del 90% de los intentos detectados por Sophos se centraban en el Protocolo Ligero de Acceso a Directorios (LDAP). Un número menor de intentos se ha dirigido a la Interfaz Remota de Java (RMI), aunque los investigadores de Sophos han detectado que parece haber una mayor variedad de intentos relacionados únicamente con RMI.
  • Sophos espera que los atacantes intensifiquen y diversifiquen sus métodos de ataque y sus motivaciones en los próximos días y semanas, sin descartar la posibilidad de que aprovechen ataques de ransomware.

Según indica Sean Gallagher, investigador senior de amenazas de Sophos, y autor del artículo de SophosLabs Uncut:

«Desde el 9 de diciembre, Sophos ha detectado cientos de miles de intentos de ejecutar código de forma remota utilizando la vulnerabilidad Log4Shell. Inicialmente, se trataba de pruebas de penetración a través de Pruebas de Concepto (PoC), llevadas a cabo por investigadores de seguridad y atacantes potenciales, entre otros, además de muchos escaneos online de la vulnerabilidad. A esta primera fase le siguieron rápidamente los intentos de instalar mineros de criptomonedas, incluyendo la red de bots mineros Kinsing. La información más reciente sugiere que los atacantes están tratando de explotar la vulnerabilidad para exponer las claves utilizadas por las cuentas de Amazon Web Service. También hay indicios de que los atacantes intentan aprovechar la vulnerabilidad para instalar herramientas de acceso remoto en las redes de las víctimas, posiblemente Cobalt Strike, una herramienta clave en muchos ataques de ransomware”

«La vulnerabilidad Log4Shell presenta un desafío nunca antes visto para los defensores. Muchas vulnerabilidades de software se limitan a un producto o plataforma específica, como las vulnerabilidades ProxyLogon y ProxyShell en Microsoft Exchange. Esto permite a los responsables de seguridad comprobar sus software y parchearlos una vez que han detectado cuál ha sufrido la vulnerabilidad. Sin embargo, Log4Shell es una biblioteca que utilizan muchos productos. Por lo tanto, puede estar presente en los rincones más oscuros de la infraestructura de una empresa, por ejemplo, en cualquier software desarrollado internamente. Encontrar todos los sistemas que son vulnerables a causa de Log4Shell debería ser una prioridad para la ciberseguridad ahora mismo”.

«Según las previsiones de Sophos, la velocidad con la que los atacantes están aprovechando y utilizando esta vulnerabilidad no hará sino intensificarse y diversificarse en los próximos días y semanas. Una vez que un atacante se ha asegurado el acceso a una red, puede lanzar cualquier tipo de ataque. Por lo tanto, junto con la actualización de software ya lanzada por Apache para Log4j 2.15.0, los equipos de seguridad deben hacer una revisión exhaustiva de la actividad en la red para detectar y eliminar cualquier rastro de intrusos, incluso si solo parece un incómodo commodity malware”

Puedes consultar más información sobre cómo funciona Log4Shell en el artículo de Sophos Naked Security: Log4Shell Explained – How it Works, Why You Need to Know, and How to Fix It, firmado por Paul Ducklin.

Según Paul Ducklin, investigador principal de Sophos:

«Las tecnologías como IPS, WAF y el filtrado inteligente de la red están ayudando a controlar esta vulnerabilidad global. Sin embargo, Log4Shell cuenta con un sorprendente número de formas diferentes con las que codificar ‘trigger text’, un montón de lugares diferentes en su tráfico de red dónde pueden aparecer esas líneas, así como una amplia variedad de servidores y servicios que podrían verse afectados, y están conspirando colectivamente contra todos nosotros. La mejor respuesta está perfectamente clara: es necesario que cada cual parchee o mitigue sus propios sistemas ahora mismo. En nuestro articulo ofrecemos consejos prácticos que explican como funciona la vulnerabilidad, por qué funciona, qué se puede hacer y cómo solucionarla”.

Ir arriba